Сообщения

Визуализация и выводы сравнения техник и тактик MITRE ATT&CK и FST&CK

Для тех, кто проводит работы по анализу соответствия техник и тактик из разных каталогов, визуализация зачастую позволяет быстро, одним взглядом увидеть интересные закономерности и сделать полезные выводы. В сравнении исходим из предпосылки что база MITRE более подробная, чаще обновляется, содержит более современные техники поэтому с большей вероятность её надо брать за эталон и смотреть чего не хватает в каталогах техник и тактик ФСТЭК. Тактик не так много, и поэтому для сравнения вполне подошла обычная таблица. Основные выводы: Исходя из анализа типовых действий нарушителей в базе MITRE предлагается на более поздний этапе рассматривать тактику ТА0011 Command and Control Аналоги для трех тактик отсутствуют в каталоге ФСТЭК, поэтому целесообразно их добавлять Тактика Т9 из каталога ФСТЭК включает сразу 2 тактики MITRE. В матрице MITRE техники на этих двух этапах различаются достаточно сильно, как и способы детектирования их. Целесообразно также разделить в каталоге ФСТЭК Для анализа со

Сравнение техник и тактик нарушителей из методики ФСТЭК и матриц MITRE ATT&CK

Изображение
 Как вы, наверное, знаете,  новая методика моделирования угроз ФСТЭК России  сделала революцию в российских подходах к моделированию угроз – теперь нужно рассматривать угрозы – как комбинацию сценариев действий нарушителей, составленных из элементарных частиц – техник и тактик. Но техники и тактики из методики ФСТЭК немного, они недостаточно сбалансированы и пока не обновляются. Параллельно с этим существуют мировые лучшие практики по структурированию действий нарушителей кибербезопасности и самая популярная из них – матрица  MITRE   ATT & CK  и сопутствующие ей матрицы хакерских группировок, способов обнаружения и возможных мер защиты. Как применить  MITRE   ATT & CK   на практике хорошо рассказал  Алексей Лукацкий на недавнем вебинаре Но что, если мы хотим взаимоувязать моделирование угроз по методике ФСТЭК России и анализ по матрицам  MITRE ? Я вижу следующие возможные варианты интеграции этих двух каталогов: ·          Провести анализ актуальных техник и тактик и контрмер п

Отчет и рекомендации ENISA по кибербезопасности малого и среднего бизнеса

Изображение
  Недавно европейский орган о кибербезопасности European Union Agency for Cybersecurity ( ENISA ) выпустили свежий  отчет CYBERSECURITY FORSMES по анализу актуальных угроз ИБ для малого и среднего бизнеса, а также дал рекомендации по защите. Давайте посмотрим на них подробнее: ·         В Европе 99% компаний относятся к SME , поэтому их кибербезопасность очень важна (в России, кстати, тоже доля СМБ составляет 90%, хотя общая доля таких компаний в ВВП не большая) ·         Растет зависимость всех типов SME от компьютеров и интернета ·         Большинство SME (более 80%) автоматизировано обрабатывают критическую информации и кибербезопасность для них ключевой приоритет ·         Базовые меры защита внедрены в 70% SME , но расширенные меры применяют менее 30% SME ·         64% SME используют облачные сервисы и 56% используют удаленный доступ ·         Основные атаки, с которыми столкнулись SME были фишинг, вредоносы и атаки на web приложения ·         Основные про

Роль юриста, инженера, аутсорсера в обеспечении приватности и защите персональных данных

Изображение
  На прошлой неделе провели с Ксенией Шудровой ( RISC ) и Денисом Лукашем ( Infobip ) провели межблогерский вебинар в котором в режиме батла обсудили разные подходы к назначению, опыту, знаниям и подходам DPO и выстраиванию его взаимодействия с бизнесом. Раньше я уже делал подобный анализ исходя из требований к функциям, образованию и квалификации DPO , происходящих из нормативных требований и лучших практик.  Если вам интересна эта тема, то рекомендую ознакомится с этим коротким видео . Но в недавнем вебинаре мы исходили из сложившейся практики и собственного опыта. Рекомендую вам самостоятельно ознакомится с записью вебинара , и высказать свое мнение, а для затравки приведу несколько интересных цитат из обсуждения: ·         “точка зрения юриста является преобладающей” ·         “мы не видим, что целью закона 152-ФЗ является защита персональных данных” ·         “закон не про защиту данных бизнеса” ·         “какой риск аппетит у бизнеса?” ·         “в большой компан

Свежие ответы Роскомнадзора по обработке ПДн

Изображение
  Недавно задавал два простых вопрос в Роскомнадзор по поводу трактовки выполнения законодательства в сфере обработки персональных данных, привожу ниже вопросы, ответы и мои комментарии. 1ый вопрос не дословно, но примерно звучал следующим образом: ·         В организации есть большое количество работников-водителей устроенных по ГПХ, постоянная текучка. Можно ли их рассматривать как работников (вести учет перечень лиц, ознакамливать с внутренними регламентами и т.п. )? или относится к ним как третьим лицам (заключать с ними договор поручение, а со всех субъектов брать согласие на передачу этим третьим лицам)? Ответ привожу ниже: Ответ вполне ожидаемый. Отмечу только что надо не забывать поддерживать в актуальном состоянии перечень таких третьих лиц. Он будет постоянно меняться, поэтому вероятно нужная автоматизация и автообновление на каком-то портале.   2ой вопрос не дословно, но примерно звучал следующим образом: ·         новая форма согласия на публикацию ПДн, утвержденн

Лучшие практики по жизненному циклу безопасности ПО от PCI

Изображение
PCI Software Security Framework (SSF) это набор стандартов и сопутствующих им дополнительных материалов. В данный момент набор включает в себя 2 параллельно работающих стандарта, имеющих общую основу, а также свои особенности: ·         Secure Software Standard  – требования к функциям и возможностям безопасности ПО ·         Secure SLC Standard  – требования к процессам разработки безопасного ПО Последний стандарт обновился совсем недавно, поэтому давайте взглянем на него поподробнее: ·         как и во многих других лучших практиках, декларируется объективный риск-ориентированный подход при выборе мер защиты и частоты их выполнения ·         требования разделены на 4 большие группы: o    управление безопасностью o    безопасная разработка ПО o    управление ПО и данными o    безопасность взаимодействия ·         каждое требование включает следующие компоненты: o    задачи (Control Objectives) – результаты которые должны быть достигнуты o    оценка (Test Requir

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот